Ограничение торрентов

[AlexKr]

Добрый день, Господа. Ай нид хелп.

У меня ооочень мало опыта по работе с ОС FreeBSD, хотя фрю и нодени установил и настроил сам с помощью мануалов и данного форума.

Такая вот ситуация:
У нас небольшая сеть (мы не провайдер, чисто по общежитию). Наружу канал АДСЛ. Исходящая скорость max 512 кБит/сек.
Торрентокачатели забивают эту трубу на исход по максимуму, и соответственно интернет начинает тормозить у всех (хотя входящей скорости достаточно, 5-6 мБит). Ограничение скорости на отдачу не спасает, когда ограничиваешь её в разумных пределах.

Запретить торренты можно конечно (например запретом скачивания файлов .torrent), но этого делать не нужно   .
Есть такая мысль, ограничить количество одновременных потоков как на вход так и на исход (хотябы только исход).
Торрент использует одновременно кучу портов (при закачке) и один порт на отдачу (поправьте если я ошибаюсь).

Вобщем суть вопроса, как можно создать такое правило:
- порты 80, 53 не трогаем
- все порты кроме 80, 53 - max 10 потоков (на всю кучу портов)

Я думаю, что не нужно ограничивать 80 и 53 (возможно в этот список ещё нужно будет добавить какие-либо порты) по причине если юзер забьёт лимит потоков торрентами, то чтобы у него работал http и DNS.

[Aivanzipper]

ну раз Вы взялись работать с freebsd и nodeny то Вам придется вникнуть в принципы работы. Почитайте документацию по ipfw.

[AlexKr]

ну раз Вы взялись работать с freebsd и nodeny то Вам придется вникнуть в принципы работы. Почитайте документацию по ipfw.

тут я с Вами полностью согласен, поскольку тут не обойтись методом проб и ошибок - решил обратиться к опытным людям, ибо боюсь ковырять рабочий сервер.

[Aivanzipper]

Что-то типа такого, перед трубой:

Код:

ipfw add 1234 allow ip from <int_net> to not me via <int_if> not dst-port 53,80 limit src-addr 10

Но в этом случае для каждого порта будет отдельных 10 потоков. Я бы посоветовал создать отдельный пайп для привилегированных портов с гарантированной резервацией, а все остальное во второй пайп. Правда хочу заметить что онлайн игры тоже попадут в одну трубу с торрентами если их явно не выделить по портам как в случае 53 и 80. Еще можно покапать в сторону QoS. И поднимите свой кеширующий днс

[AlexKr]

В общем не получилось у меня то, что нужно.

Топик ап! Парни, кто поможет на платной основе?
Может кто разработает как дополнительный платный модуль? Думаю, не одному мне понадобится.

[dzensys]

ee /etc/all.pf

Код:

192.168.254.22/32

ee pf.conf

Код:

set limit staеtes 128000
set optimization aggressive
table <all_ips> persist file "/etc/all.pf"
pass in quick from <all_ips> to any keep state (source-track rule, max-src-states 1000)

Действие: Ограничение сессий количеством 1000 для адреса источника 192.168.254.22

[kuhar]

никто не пробовал ограничить торрент таким макаром?
http://www.opennet.ru/base/net/ng_bpf_build.txt.html

[Efendy]

Для себя я сделал так:

table <me> { self }
table <users_bad> { 10.0.0.0/16 }

нат

pass quick on lo0 all

pass in quick on { $int_if ng } proto { tcp udp } from any to <me> keep state
pass in quick proto tcp from any to <me> port { 22 80 443 } keep state

тут мои специфические правила

pass in quick on { $int_if ng } proto tcp from <users_bad> to any port 80 keep state (source-track rule, max-src-states 200)
pass in quick on { $int_if ng } proto { tcp udp } from <users_bad> to any keep state (source-track rule, max-src-states 100)

По 80му порту даю больше потоков, чтобы при использовании торрента, абонент мог лазить по сайтам. По идее для онлайн игр можно дать больше потоков, однако это оказалось излишним т.к клиенты стали замечать, что если вырубить торрент, то вау, все начинает летать

[stix]

как pf справляется с большой нагрузкой?

[Efendy]

как pf справляется с большой нагрузкой?

По top-у это pfpurge? Если да, то далеко не в первых рядах. У меня сеть недостаточно большая чтоб на этом были проблемы.

[stix]

как pf справляется с большой нагрузкой?

По top-у это pfpurge? Если да, то далеко не в первых рядах. У меня сеть недостаточно большая чтоб на этом были проблемы.

у меня emX по 100% нагрузка валит, распараллелил на второй роутер.
затем с 19:00 до 23 шейплю весь роутер доступа + рубаю порты TCP/UDP (src 10000-65000 <> dst 10000-65000)
юзеров в 5 раз больше, чем суммарная ширина канала

[kuhar]

Для себя я сделал так:

table <me> { self }
table <users_bad> { 10.0.0.0/16 }

нат

pass quick on lo0 all

pass in quick on { $int_if ng } proto { tcp udp } from any to <me> keep state
pass in quick proto tcp from any to <me> port { 22 80 443 } keep state

тут мои специфические правила

pass in quick on { $int_if ng } proto tcp from <users_bad> to any port 80 keep state (source-track rule, max-src-states 200)
pass in quick on { $int_if ng } proto { tcp udp } from <users_bad> to any keep state (source-track rule, max-src-states 100)

По 80му порту даю больше потоков, чтобы при использовании торрента, абонент мог лазить по сайтам. По идее для онлайн игр можно дать больше потоков, однако это оказалось излишним т.к клиенты стали замечать, что если вырубить торрент, то вау, все начинает летать

Вопрос а 200 потоков хватит для просмотра онлайн видео?
Ваши клиенты не жаловались?

[Efendy]

а оно в несколько потоков смотрится? Не знаю, не жаловались. В любом случае, все ограничения нужно самому проверять, запустить скайп, даунлоуд менеджер, запустить музло во вконтакте, видео и параллельно посерфить. Будет время я и сам протещу это

[stix]

с pf у меня как-то не судьба.
как насчет
ipfw add 90 deny udp from any 2000-65535 to "table(1)" 2000-65535 limit src-addr 100 ?

[kuhar]

а оно в несколько потоков смотрится? Не знаю, не жаловались. В любом случае, все ограничения нужно самому проверять, запустить скайп, даунлоуд менеджер, запустить музло во вконтакте, видео и параллельно посерфить. Будет время я и сам протещу это

Просто как-то пробовал в настройках групп в админке поставить количество потоков до 200, и как только клиент начинает смотреть онлайн фильм, биллинг его сразу отрубает, вот и пришлось увеличить.